D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).
La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:
- La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
- Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
- GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
- GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
- Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
- En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.
Basándose en estos hechos probados, la AEPD acordó iniciar el
Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.
Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).
La AEPD responde tajante en los Fundamentos de Derecho:
GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.
Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:
“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”
Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:
Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.
Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:
GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)
Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.
